Ransomware - Wie können Sie Sich dagegen schützen

Ransomware ist in der letzten Zeit eine üble Bedrohung für die IT-Sicherheit geworden. So werden mittels social-engineering-attacke die Schutzziele Verfügbarkeit und Datenintegrität angegriffen.

Die zur Zeit im Umlauf befindliche Ransomware arbeitet nach folgendem Muster:

  1. Das potentielle Opfer erhält eine E-Mail mite beispielsweise einer Bewerbung. Da vor allem KMU's und Mittelständler zur Zeit intensiv nach Mitarbeitern suchen, ist die Warscheinlichkeit, dass die Mail geöffnet wird sehr groß. Das Anschreiben ist meist in sehr gutem und fehlerfreiem Deutsch verfasst, es ist ein Bewerbungsfoto angefügt und es gibt eine entweder .ZIP-, DOCX oder .XLSX-Datei, die den Schadcode enthält.
  2. Auch aktualisierte Virenscanner finden die Schadsoftware meist nicht sofort, da diese auf die Kenntnis der Signatur oder des Laufverhaltens der Schadsoftware angewiesen sind, um geeignete Schutzmechanismen zu entwickeln. Öffnet der Benutzer nun die schadsoftware enthaltende Datei wird das Script direkt ausgeführt, wenn der Benutzer administrative Rechte auf dem PC besitzt. Ist der Benutzer mit eingeschränkten Beutzerrechten angemeldet, stürzt der Rechner ab, startet neu und führt dann das Script aus.
  3. Die Schadsoftware löscht zuerst alle Systemwiederherstellungspunkte, so dass man das System nicht auf einen früheren Zeitpunkt zurücksetzen kann. Als nächstes werden alle Nutzdateien mittels AES unter Nutzung der betriebssystemeigenen Verschlüsselungsmodule verschlüsselt. Danach werden je nach Schadsoftwareprogrammierung Netzwerkressourcen angegriffen und auch dort die Nutzdaten verschlüsselt. Der Schlüssel zur Entschlüsselung der Nutzdaten liegt (mutmaßlich) auf dem Server der Cyperkriminellen und wird dann evtl. gegen Lösegeldzahlung herausgegeben. Eine Garantie dafür gibt es jedoch nicht.

Maßnahmen zur Abwehr des Angriffs:

  1. Prüfen der E-Mail auf Schlüssigkeit (Wenn das Unternehmen keine Bewerber benötigt und/oder keine Anzeigen oder Anforderungen an die Agentur für Arbeit gestellt hat, sollte die Mail nicht bearbeitet sondern gelöscht werden).
  2. Antworten Sie auf die mail im Sinne von "... haben Ihre Mail vom ... erhalten und werden die Dokumente innerhalb von 7 Tagen prüfen. Für zwischenzeitliche Rückfragen bitten wir um Kontakt unter <Ihre Telefonnummer>." Das hat 3 Effekte. Ist die Adresse gefälscht, erhalten Sie meist eine Unzustellbarkeitsmeldung vom Mailserver. Wird die Mail zugestellt, soll der potentielle Bewereber Sie innerhalb von 7 Tagen telefonisch kontaktieren. Innerhalb von 7 Tagen sind die Anitvirensoftwarehersteller meist so weit, dass sie die Schadsoftware erkennen und damit die infizierte Mail aus dem Postfach entfernen.
  3. DAS WICHTIGSTE ABER IST EINE FUNKTIONEIRENDE, AKTUELLE DATENSICHERUNG DES PC-SYSTEMS UND SERVERS!